CPU 工作模式：实模式、保护模式与长模式

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

3152 字

9 分钟

CPU 工作模式：实模式、保护模式与长模式

2021-05-24

操作系统

/

CPU

/

底层原理

CPU 的工作模式以及寄存器#

CPU 进行计算工作，需要存放操作数以及运算结果的空间，这个空间称为寄存器。x86 架构处理器有 8 个通用寄存器：

64 位寄存器（长模式）	32 位寄存器（保护模式）	16 位寄存器（实模式）	8 位寄存器	描述
RAX	EAX	AX	AH, AL	累加器，常用于算术和逻辑运算，会被乘除法指令自动使用
RBX	EBX	BX	BH, BL	基址寄存器，常用于内存寻址
RCX	ECX	CX	CH, CL	计数寄存器，常用于循环计数，会被 LOOP 系列指令自动使用
RDX	EDX	DX	DH, DL	数据寄存器，常用于 I/O 操作
RSI	ESI	SI		源索引寄存器，常用于字符串/数组操作
RDI	EDI	DI		目标索引寄存器，常用于字符串/数组操作
RBP	EBP	BP		基指针寄存器，常用于引用栈帧
RSP	ESP	SP		堆栈指针寄存器，指向栈顶

从上表可以看出，在 x86 架构中，寄存器的位数扩展遵循向下兼容原则，通过寄存器分段命名实现数据操作的灵活性：

16 位处理器（如 8086），主要工作模式为实模式
- 仅支持 16 位及以下寄存器（AX、BX 等），且无 32 位概念
- 典型结构：AX = AH（高 8 位） + AL（低 8 位）
32 位处理器（如 80386），支持实模式，但主要工作在保护模式
- 扩展出 32 位寄存器（EAX、EBX 等），但仍兼容 16 位模式
- 层级关系：EAX（32 位）→ AX（低 16 位）→ AH/AL（8 位高低字节）
- （注意：AX 是 EAX 的低 16 位）
64 位处理器（x86-64/AMD64），支持以往的模式，但主要工作在长模式
- 新增 64 位寄存器（RAX、RBX 等），同时完全兼容 32 位以下操作
- 层级关系：RAX（64 位）→ EAX（低 32 位）→ AX（低 16 位）→ AH/AL（8 位高低字节）
- 新增 R8-R15 通用寄存器，同样支持 64/32/16/8 位操作

除了上述通用寄存器外，CPU 中还有专门用于访问内存的寄存器，称为段寄存器：

段寄存器	8086 中的用途（实模式）	x86 中的用途（保护模式）	x86-64 中的用途（长模式）
CS	代码段寄存器，存储当前执行代码的段地址。	代码段寄存器，存储代码段选择子，用于访问代码段。	代码段寄存器，主要用于系统调用和返回前指令地址。
DS	数据段寄存器，存储数据的段地址。	数据段寄存器，存储数据段选择子，用于访问数据段。	数据段寄存器，主要用于访问全局变量和静态数据。
SS	堆栈段寄存器，存储栈的段地址。	堆栈段寄存器，存储堆栈段选择子，用于访问栈。	堆栈段寄存器，主要用于访问栈。
ES	附加段寄存器，用于字符串操作等额外的内存段地址存储。	附加段寄存器，存储附加段选择子，用于访问附加段。	附加段寄存器，主要用于 BIOS 调用和某些操作系统服务。
FS	无（8086 中不存在）	FS 寄存器，存储局部段选择子，用于访问局部变量和权限数据。	FS 寄存器，存储局部段选择子，用于访问线程特定数据（例如 TLS）。
GS	无（8086 中不存在）	GS 寄存器，存储全局段选择子，用于访问全局变量和权限数据。	GS 寄存器，存储全局段选择子，用于访问线程特定数据（例如 TLS）。

段寄存器的使用与内存寻址模型相关，下面根据 CPU 的工作模式分别介绍：

实模式#

x86 架构在 16 位处理器（如 8086）时期，只支持单任务处理，运行在实模式下。实模式采用分段的内存模型，使用下面的方式获取物理地址：

物理地址 = 段寄存器 × 16 + 偏移量

即使寄存器只有 16 位，但通过这种形式得以扩展到 20 位的物理地址，所以有 1MB 的内存空间可供程序使用。

访存示例代码如下：

1
; 假设我们有一个数据段，其中包含了一个字（word）的数据
2
; 数据段定义如下：
3
data_segment segment
4
    data_word dw 1234h ; 定义一个字（word）的数据
5
data_segment ends
6

7
; 堆栈段定义如下：
8
stack_segment segment
9
    stack dw 256 dup(?) ; 分配256字的空间作为堆栈
10
stack_segment ends
11

12
; 代码段开始
13
code_segment segment
14
; 告诉汇编器，引用某个段的数据时，使用哪个段，比如通过 data_word 标签引用数据时就会自动加上 ds
15
assume cs:code_segment, ds:data_segment, ss:stack_segment, es:data_segment
16
start:
17
    ; 初始化段寄存器
18
    mov ax, data_segment
19
    mov ds, ax    ; 将数据段地址加载到DS寄存器
20
    mov es, ax    ; 将数据段地址也加载到ES寄存器，用于额外的段操作
21

22
    ; 访问DS段中的数据
23
    mov bx, 0     ; BX寄存器作为偏移量
24
    mov ax, [bx]  ; 将DS:BX指向的数据移动到AX寄存器
25
    ; 此时，AX寄存器中存储的就是data_word的值，即1234h
26

27
    ; 访问ES段中的数据
28
    mov bx, 0     ; 重置BX寄存器
29
    mov ax, es:[bx]  ; 将ES:BX指向的数据移动到AX寄存器
30
    ; 此时，AX寄存器中存储的同样是data_word的值，即1234h
31

32
    mov bx, 0
33
    mov ax, data_word  ; 因为设置了 assume ds:data_segment，所以汇编器会自动为其设置段和偏移
34

35
    ; 使用SS寄存器进行堆栈操作
36
    mov ax, stack_segment
37
    mov ss, ax    ; 将堆栈段地址加载到SS寄存器
38
    mov sp, 256   ; 设置堆栈指针SP为256，即堆栈顶部
39

40
    push ax      ; 将AX寄存器的值压入堆栈
41
    pop ax       ; 从堆栈中弹出值到AX寄存器
42

43
    ; 结束程序
44
    mov ax, 4C00h
45
    int 21h      ; 调用DOS中断来结束程序
46
code_segment ends
47
; 因为设置了 assume cs:code_segment，所以汇编器才知道 start 需要设置为 cs 段
48
end start

保护模式#

在 32 位处理器时期，资源得到扩展，而之前的实模式因不存在内存保护、无法建立隔离的内存空间等问题，无法支持多任务处理。因此引入了保护模式。

在保护模式下，段寄存器中存储的不再是直接的段基址，而是选择子（selector），通过选择子访问全局描述符表（GDT）或局部描述符表（LDT）中的段描述符，从而获取段的基址、界限和访问权限等信息。这样可以实现不同段之间的隔离和保护，防止程序随意访问其他段的内存，提高系统的安全性。

段选择子（Segment Selector）：段选择子是一个 16 位的值，用于选择特定的段描述符。它存储在段寄存器（如 CS、DS、SS、ES、FS、GS）中，用于定位内存段。段选择子在保护模式下代替了实模式中段寄存器直接存储段基地址的功能。
```
1
15                                   3  2  1  0 bit位
2
+-----------------------------------+---+--+--+
3
|           描述符索引(Index)        |TI | RPL |
4
+-----------------------------------+---+--+--+
```
- TI：指明是从 GDT（0）还是 LDT（1）中获取段描述符
- RPL：请求的特权级，用于权限检查。对应段描述符中的 DPL
- 通常情况下，CS 和 SS 中 RPL 就组成了 CPL（当前权限级别），所以常常是 RPL = CPL。CPL 表示发起访问者要以什么权限去访问目标段，当 CPL 大于目标段 DPL 时，CPU 禁止访问；只有 CPL 小于等于目标段 DPL 时才能访问
段描述符（Segment Descriptor）：段描述符是一个 8 字节（64 位）的结构体，存储段的基地址、段限长（大小）以及访问权限等信息。
```
1
63                56  55   54  53  52                 48  47    45  44    40                    15                0
2
+-----------------+---+----+---+---+------------------+---+-----+---+------+----------------- --+-----------------+
3
| 基址高8位[24:31] | G | DB | - | A | 限长高4位[16:19] | P | DPL | S | TYPE |  基址低24位[0:23]   | 限长低16位[0:15] |
4
+-----------------+---+----+---+---+------------------+---+-----+---+------+--------------------+------------------
```
- 基址（BASE）：32 位基地址，定义段的起始线性地址
- 限长（LIMIT）：20 位限长，表示段的长度，单位以「G」字段的属性为准
- G（Granularity）：粒度，1 表示 4KB 粒度，0 表示字节粒度
- DB（Default Operation Size）：默认操作大小，1 表示 32 位，0 表示 16 位
- A（Available）：系统软件保留位，可自由使用
- P（Present）：段有效标志，1 表示段存在。不存在则会触发中断
- DPL（Descriptor Privilege Level）：段特权级，值为 0（最高）到 3（最低）
- S（Descriptor Type）：段描述符类型，0 表示系统段，1 表示代码或数据段
- TYPE：段类型
```
1
bit 3 (T) = 代码段(1)或数据段(0)
2
bit 2 (C) = 是否可执行
3
bit 1 (R) = 是否可读
4
bit 0 (A) = 是否已访问(由CPU自动设置)
```

全局描述符表（GDT）：全局的段描述符表，存储系统中所有全局段描述符信息，存储在内存中，由操作系统内核进行初始化。其位置和大小由 GDTR 寄存器指定。GDTR 的格式为：

1
47 15 0
2
+-------------------+------------------+
3
| 32位基地址 | 16位界限 |
4
+-------------------+------------------+
5

6
- 系统只有一个 GDT
7
- 第一个描述符（索引 0）必须为空
8
- 包含系统中所有段的描述符
9
- 通过 LGDT 指令加载

局部描述符表（LDT）：进程私有的段描述符表，其位置和大小由 LDTR 寄存器指定。每个任务可以有一个 LDT，LDT 自身的描述符必须存在于 GDT 中，通过 LLDT 指令加载。

中断门描述符：保护模式下的中断也需要进行权限检查，所以每个中断使用中断门描述符来表示；

1
63                47                           39  36      31                15                   0
2
+--------------------+--------------------------+----+-------+----------------+--------------------+
3
| 目标代码段偏移31:16 | 1 | DPL | 0 |    TYPE    | 000 | 保留 | 目标代码段选择子 | 目标代码段偏移 0:15  |
4
+--------------------+--------------------------+------------+----------------+--------------------+

DPL（Descriptor Privilege Level）：段特权级，值为 0（最高）到 3（最低）

TYPE：段类型

1
bit 3 = 0表示16位，1表示32位
2
bit 2 = 1
3
bit 1 = 1
4
bit 0 = 0表示中断门，1表示陷阱门

任务状态段（TSS）：TSS 是保护模式下进行任务切换的关键数据结构，存储了任务的处理器状态信息。其位置和大小由 TR 寄存器指定。

1
31                  0
2
+-------------------+
3
|         CR3       | 0x00
4
+-------------------+
5
|         EIP       | 0x04
6
+-------------------+
7
|        EFLAGS     | 0x08
8
+-------------------+
9
|         EAX       | 0x0C
10
+-------------------+
11
|         ECX       | 0x10
12
+-------------------+
13
|         EDX       | 0x14
14
+-------------------+
15
|         EBX       | 0x18
16
+-------------------+
17
|         ESP       | 0x1C
18
+-------------------+
19
|         EBP       | 0x20
20
+-------------------+
21
|         ESI       | 0x24
22
+-------------------+
23
|         EDI       | 0x28
24
+-------------------+
25
|         ES        | 0x2C
26
+-------------------+
27
|         CS        | 0x30
28
+-------------------+
29
|         SS        | 0x34
30
+-------------------+
31
|         DS        | 0x38
32
+-------------------+
33
|         FS        | 0x3C
34
+-------------------+
35
|         GS        | 0x40
36
+-------------------+
37
|         LDT       | 0x44
38
+-------------------+
39
|         T         | 0x48
40
+-------------------+
41
|    I/O位图基址    | 0x4C
42
+-------------------+
43
|     I/O位图       |
44
+-------------------+

分页机制：虽然段机制在保护模式下提供了基本的内存管理功能，但为了进一步支持虚拟内存和更细粒度的内存管理，保护模式后续主要使用新引入的分页机制（依赖 MMU 单元）来管理内存。

保护模式下的中断#

保护模式下产生中断后，CPU 首先会检查中断号是否大于最后一个中断门描述符。x86 CPU 最大支持 256 个中断源（即中断号：0~255），然后检查描述符类型（是否是中断门或陷阱门）、是否为系统描述符、是否存在于内存中。接着，检查中断门描述符中的段选择子指向的段描述符。最后做权限检查：如果 CPL 小于等于中断门的 DPL，并且 CPL 大于等于中断门中段选择子所指向段描述符的 DPL，就使用段描述符的 DPL。

进一步地，若 CPL 等于中断门中段选择子指向段描述符的 DPL，则为同级权限，不进行栈切换；否则进行栈切换。如果进行栈切换，还需要从 TSS 中加载具体权限的 SS、ESP，当然也要对 SS 中段选择子指向的段描述符进行检查。

做完这一系列检查之后，CPU 才会加载中断门描述符中目标代码段选择子到 CS 寄存器，把目标代码段偏移加载到 EIP 寄存器中执行。

保护模式的启动和访存流程#

GDT 加载：

graph TD A[CPU上电] --> B[BIOS初始化] B --> C[加载引导扇区] C --> D[进入保护模式准备阶段] D --> E[禁止中断] E --> F[启用A20地址线] F --> G[加载GDT] G --> H[开启CR0.PE位] H --> I[远跳转到保护模式代码] I --> J[初始化段寄存器] J --> K[设置IDT] K --> L[设置TSS] L --> M[启用分页] M --> N[跳转到内核入口]

用户程序访存：

graph TD A[应用程序发出内存访问请求] --> B[CPU处理请求] B --> C[读取段寄存器] C --> D[通过段选择器找到GDT/LDT条目] D --> E[获取段基址、限长和访问权限] E --> F[计算线性地址] F --> G{是否启用分页？} G -->|否| H[直接将线性地址作为物理地址] G -->|是| I[使用CR3寄存器指向的页目录表] I --> J[查找页目录项] J --> K[获取页表基址] K --> L[查找页表项] L --> M[计算物理地址] M --> N[检查权限和访问有效性] N --> O{访问有效？} O -->|是| P[访问内存单元] O -->|否| Q[触发页面异常]

保护模式下用户空间程序的访存#

1
; 用户空间内存访问示例 (Linux, x86_64)
2
; 编译: nasm -f elf64 -o memory_access.o memory_access.asm
3
; 链接: ld -o memory_access memory_access.o
4

5
section .data
6
    ; 已初始化数据段
7
    message1    db "Hello from data segment!", 0
8
    number1     dq 12345678h
9
    array1      dd 1, 2, 3, 4, 5
10

11
section .bss
12
    ; 未初始化数据段
13
    buffer      resb 64    ; 64字节的缓冲区
14
    array2      resd 10    ; 10个双字的数组
15
    number2     resq 1     ; 一个八字节数值
16

17
section .text
18
    global _start
19

20
; 字符串打印函数
21
print_string:
22
    ; 保存使用到的寄存器
23
    push rax
24
    push rdi
25
    push rsi
26
    push rdx
27

28
    ; 计算字符串长度
29
    mov rdi, rsi    ; rsi中存放要打印的字符串地址
30
    xor rcx, rcx    ; 清零计数器
31
.count_loop:
32
    cmp byte [rdi], 0
33
    je .count_done
34
    inc rcx
35
    inc rdi
36
    jmp .count_loop
37
.count_done:
38

39
    ; 调用系统调用write(1, string, length)
40
    mov rax, 1      ; write系统调用号
41
    mov rdi, 1      ; 文件描述符 (stdout)
42
    mov rdx, rcx    ; 字符串长度
43
    syscall
44

45
    ; 恢复寄存器
46
    pop rdx
47
    pop rsi
48
    pop rdi
49
    pop rax
50
    ret
51

52
_start:
53
    ; 1. 演示数据段访问
54
    ; 直接访问静态数据
55
    mov rsi, message1
56
    call print_string
57

58
    ; 读取数值数据
59
    mov rax, [number1]
60
    ; 可以对rax进行运算操作
61

62
    ; 访问数组元素
63
    mov eax, [array1 + 4]  ; 访问array1[1]
64
    mov eax, [array1 + 8]  ; 访问array1[2]
65

66
    ; 2. 演示BSS段访问
67
    ; 初始化buffer
68
    mov rdi, buffer
69
    mov rcx, 64
70
    mov al, 'A'
71
.fill_loop:
72
    mov [rdi], al
73
    inc rdi
74
    dec rcx
75
    jnz .fill_loop
76

77
    ; 初始化array2
78
    mov rdi, array2
79
    mov rcx, 10
80
    mov eax, 1
81
.init_array:
82
    mov [rdi], eax
83
    add rdi, 4
84
    inc eax
85
    dec rcx
86
    jnz .init_array
87

88
    ; 3. 演示栈操作
89
    ; 保存一些值到栈上
90
    push qword [number1]
91
    push 0x1234567890ABCDEF
92

93
    ; 分配栈空间用于局部变量
94
    sub rsp, 32         ; 分配32字节的栈空间
95
    mov byte [rsp], 'H'
96
    mov byte [rsp+1], 'i'
97
    mov byte [rsp+2], 0
98

99
    ; 打印栈上的字符串
100
    mov rsi, rsp
101
    call print_string
102

103
    ; 恢复栈
104
    add rsp, 32
105
    pop rax
106
    pop rax
107

108
    ; 4. 演示系统调用获取内存
109
    ; 使用mmap系统调用分配内存
110
    mov rax, 9          ; mmap系统调用号
111
    mov rdi, 0          ; 让内核选择地址
112
    mov rsi, 4096       ; 分配4KB
113
    mov rdx, 0x3        ; PROT_READ | PROT_WRITE
114
    mov r10, 0x22       ; MAP_PRIVATE | MAP_ANONYMOUS
115
    mov r8, -1          ; fd (-1 for anonymous mapping)
116
    mov r9, 0          ; offset
117
    syscall
118

119
    ; 检查是否分配成功
120
    cmp rax, -1
121
    je exit
122

123
    ; 使用分配的内存
124
    mov rdi, rax        ; 保存分配的地址
125
    mov byte [rdi], 'M'
126
    mov byte [rdi+1], 'M'
127
    mov byte [rdi+2], 'A'
128
    mov byte [rdi+3], 'P'
129
    mov byte [rdi+4], 0
130

131
    ; 打印mmap区域的内容
132
    mov rsi, rdi
133
    call print_string
134

135
    ; 使用munmap释放内存
136
    mov rax, 11         ; munmap系统调用号
137
    ; rdi中已经是内存地址
138
    mov rsi, 4096       ; 大小
139
    syscall
140

141
exit:
142
    ; 退出程序
143
    mov rax, 60         ; exit系统调用号
144
    xor rdi, rdi        ; 返回值0
145
    syscall

保护模式下的平坦模型#

因为分段模型存在诸多缺陷，并且随着分页机制逐渐完善，操作系统逐步淡化了分段机制。由于硬件约束的原因，x86 CPU 并不能直接使用分页模型，而是要在分段模型的前提下，根据需要决定是否开启分页。所以操作系统内核一般会将所有的段基址设置为 0，界限设置为最大值存放到 GDT 的固定位置，具体参考源码：torvalds/linux.h。这使得分段成为一种「虚设」，称之为保护模式下的平坦模型。

长模式#

长模式又名 AMD64，因为这个标准是 AMD 公司最早定义的。它使 CPU 在现有基础上具备了 64 位的处理能力，既能完成 64 位的数据运算，也能寻址 64 位的地址空间。长模式依旧继承了保护模式的诸多特性，只是段描述符中的基址和限长变成了无效项，CPU 不再对段基址和段长度进行检查，只对 DPL 进行相关检查，这个检查流程与保护模式下一样。